网络安全技术及应用(九).PPTVIP

  1. 1、本文档共40页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
网络安全技术及应用(九)

第9章 网络安全新技术及应用 本章学习学习目标 随着现代信息技术及通信网络技术的迅猛发展,近年来出现了可信计算、蜜罐网络等安全技术,从崭新的角度来解决网络安全问题。通过本章的学习使学生了解可信计算的基本功能和体系结构,电子取证的概念基本特征以及取证过程,蜜罐网络和基本特征,最后了解安全评估的基本准则及步骤。 本章知识点 可信计算体系结构和功能 电子取证的概念、特征及计算机取证步骤 蜜罐网络的发展、基本特征和体系架构 安全风险评估的基本准则及步骤 9.4 信息安全风险评估 人们对信息安全内涵的认识不断深入,从最初的信息必威体育官网网址性发展到了信息的完整性、可用性、可控性和不可否认性,进而又提出和发展了“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”众多方面基础理论和专业技术,其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具。 信息安全是一个动态的复杂过程,贯穿信息资产和信息系统的整个生命周期,是信息安全管理的基础和关键环节,必须按照风险管理思想,对可能的威胁、脆弱性和需要保护的信息资产进行分析,依据风险评估结果对信息系统选择适当的安全措施,以妥善应对可能面对的威胁和可能发生的风险,有针对性进行管理。 9.4.1 信息安全风险评估的概念 1、信息安全风险评估的定义 信息安全风险评估是从风险管理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生系统可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。 9.4.1 信息安全风险评估的概念 2、相关概念 资产(Asset) 资产价值(Asset Value) 信息安全风险(Information Security Risk) 信息安全风险评估(Information Security Risk Assessment) 威胁(Threat) 脆弱性(Vulnerability) 安全事件(Security Event) 安全措施(Security Measure) 安全需求(Security Requirement) 残余风险(Residual Risk) 9.4.1 信息安全风险评估的概念 3、风险评估的基本要素及关系 9.4.2 信息安全风险评估的发展历程 第一个阶段(20世纪60~70年代),以计算机为对象的信息必威体育官网网址阶段。 第二个阶段(20世纪80~90年代),以计算机和网络为对象信息安全保护阶段。 第三个阶段(20世纪90年代末至今),以信息系统关键基础设施为对象的信息保障阶段。 9.4.3 我国在信息安全风险评估方面的政策和工作 进入21世纪,我国的风险评估工作取得了较快的发展,中办发[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防范措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。 2004年1月首次全国信息安全保障工作会议要求“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。 9.4.3 我国在信息安全风险评估方面的政策和工作 2003年7月委托国家信息中心组建成立了“信息安全风险评估课题组” 2004年9月,“信息安全风险评估规范”和“信息安全风险管理指南”两个标准的初稿完成 2005年,有国务院信息办组织,在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家电力总公司和国家信息中心开展风险评估的试点工作 2006年1月国务院信息化办公室下发了“关于开展信息安全风险评估工作的意见”,明确了信息安全风险评估工作的基本内容和原则,对风险评估工作提出了要求 9.4.4 信息安全风险评估的参考流程 9.4.5 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。 1、威胁识别 2、威胁分类 3、威胁赋值 9.4.6 脆弱性识别 脆弱性是指资产中可能被威胁所利用的弱点。 1、脆弱性识别 问卷调查 工具检测 人工检查 文档查阅 渗透性测试 2、脆弱性赋值 通用弱点评价体系(CVSS)

文档评论(0)

panguoxiang + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档